За лош клиент

[babula]

Здравейте, имам следния проблем - един клиент си сменя IP-то непрекъснато. Пуснал съм ги на статични IP-та. Мога ли да  му забраня знаейки  МАС адрес му да не може да има нет ако си смени IP-то(или просто да забраня на клиент с даден МАС адрес да има интернет).

[SS7]

Два начина :

1.  Static ARP entries (make static) ,  intreface arp = reply only  (връзваш статично MAC->IP)

2.  /ip firewall  ,  filter rules , new rule->advanced MAC=xx.xx.xx.xx. ...  action=drop  (спираш рутирането на даден МАК)

[111111]

С предните стъпки се започва от самото начало

за жалост клиентелата ни е просветена

[SS7]

Да не говорим , че истинското спасение е само  pppoe . 

Щото един клиент с wireshark и малко познания ,  може да бъде страшен.

[kokaracha]

  Абе не сме 93-та година,решения много има сега. Един етернет хотспот и логин/пасс авторизация  през хттпс ще свърши доволно работа.Да не говорим за някои по гъвкъв софтуер с възможности за проверка и сравнения на мак,ттл,  радиус авторизация ..

[111111]

за сега най-сигурното е хотспот с JAVA дето гледа дъно и хард номера

доказано е че работи на 98% от платформите

[¤ DJ69 ¤ (ツ) ¤]

За това и аз съм чувал .... Имаш ли преки наблюдения ?

[Mile]

Режеш кабела и не се занимаваш с глупости. То бтв добър клиент има ли? ^^

[kokaracha]

Режеш кабела и не се занимаваш с глупости. То бтв добър клиент има ли? ^^

Има,този които плаща  редовно и то на тебе   Няма смисъл от рязане на кабели и истерий за това че някой  си е сменил адреса или мак-а,пък и как ше го докажеш отдалечено че потребитела  го е направил умишлено а не някои вирус примерно.

[Mile]

еее то не е важно как аз го правя, а как да го направи човек явно незнаещ. аз от подобни клиенти нямам нужда. много подобни съм разкарал... много съм и отказал да го правят.. бе секви идиотщини, но предпочитам да го разкарам подобен клиент във всички случаи.

при сегментирана мрежа елегантното е с mac addres-table static vlan N и това е.

[kokaracha]

при сегментирана мрежа елегантното е с mac addres-table static vlan N и това е.

А ако "лошия" е примерно във влана кво правим тогава ?

[Mile]

mac adress-table static xx:xx:xx:xx:xx vlan N drop + стандартното мак флудене. ако е много зор къф да е свич на vlan и въпросния юзер и комшиите на vlan-per-user. Да се занимава после колко иска сам във vlan-а.

[Велин]

ако говорим за спиране на клиент един клевър суич на монтана помага даже няма да ти трябва пико ип модул

[Mile]

Не точно. Не мога да помня на всеки свич какво съм правил лично аз. портове 1-7 например vlan-и 101-107 пристигат на първото cisco и там ако приемем, че клиента е на vlan 101 се прави въпросното mac adress-table static xx:xx:xx:xx:xx vlan 101 drop. vlan-ите отиват портнати в бридж на акоунтинга... не е трудоемко ^^

Напоследък за улеснение и "прегледност" го права чак на core свича за да не се чуда каде е побито правилото.

Варианти много, но рязането на кабела винаги е по-доброто решение.

Ест може и да свалиш vlan-а на акоунтинга... да го махнеш по пътя от трунка или ко ли не, но трудно се помни и се налага да се чете после какво е правено.

[kokaracha]

vlan-per-user,разни switching изпълнения са си загуба на време и ресурси. Автентикацията е решението за всякакъв вид/тип мрежи.

[koko]

за мен порт бейсид влан е най-икономически изгодното и сигурно решение за домашни потребители на лан